Filtrar datos en la vista de recursos

La vista de recursos te permite investigar los recursos dentro de tu empresa y saber si interactuaron con dominios sospechosos o no. Puedes ajustar la vista de recursos para ocultar la actividad benigna y ayudar a destacar los datos relevantes para una investigación.

Completa los siguientes pasos para navegar a la página Vista de activos:

  1. Ingresa el recurso (que termina con un sufijo público conocido) o la URL que necesitas investigar en la barra de búsqueda que se encuentra en la parte superior de la interfaz de usuario. Haz clic en BUSCAR.

    Buscar un activo Busca un recurso en la página de destino

  2. Selecciona el activo en el menú desplegable ACTIVOS.

    Menú de detección automática de la búsqueda de recursos Menú de detección automática de la búsqueda de Chronicle

  3. Se mostrará la vista de recursos.

    Vista del recurso Vista de recursos

  4. Haz clic en el ícono Ícono de filtro en la esquina superior derecha de la interfaz de usuario de Chronicle. Se abrirá el menú Filtrado de procedimientos como se muestra en la siguiente figura. El filtrado de procedimientos te permite filtrar aún más la información relacionada con un recurso, incluso por tipo de evento, fuente del registro, estado de conexión de red y dominio de nivel superior (TLD).

    Menú de filtrado de la vista de recursos Menú de filtros

    Las siguientes opciones de filtrado por procedimientos están disponibles en la vista de recursos:

    • TIPO DE EVENTO
    • FUENTE DE REGISTRO
    • ESTADO DE CONEXIÓN DE RED
    • TLD

    Opciones del menú para filtrar la vista de recursos Opciones de filtro

Prevalencia

La prevalencia mide la cantidad de recursos de tu empresa que se conectaron a un dominio específico en los últimos siete días. Una mayor cantidad de recursos conectados a un dominio implica que este tendrá una mayor prevalencia dentro de tu empresa. Es poco probable que los dominios de alta prevalencia, como google.com, requieran investigación. Puedes usar el control deslizante de prevalencia para filtrar los dominios de prevalencia alta y enfocarte en los dominios a los que menos recursos de la empresa accedieron. El valor de prevalencia mínimo es 1, lo que significa que puedes enfocarte en los dominios vinculados a un solo recurso dentro de tu empresa. El valor máximo varía según la cantidad de recursos que tengas en tu empresa.

Chronicle proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió al dominio desde la empresa antes, y puede proporcionar una indicación de si el dominio está asociado con una campaña en particular dirigida a la empresa. Por lo general, los dominios menos frecuentes, a los que se conectan menos recursos, pueden representar una amenaza mayor para la empresa.

Control deslizante de tiempo

El deslizador de tiempo te permite ajustar el período de tiempo que se examina. Puedes ajustar el control deslizante para ver los eventos de un minuto a un día (también puedes hacerlo usando la rueda de desplazamiento del mouse sobre el gráfico de prevalencia). Los dominios a los que acceden más recursos se muestran como más frecuentes en la vista de recursos.

Pestaña Cronograma

Si seleccionas un evento en la pestaña Cronograma, también se destacará el evento correspondiente en el mapa de calor de gradientes en verde. Las alertas se indican con un triángulo rojo y texto rojo.

Pestaña Recursos

Cuando seleccionas un recurso, se destaca en verde en la pestaña Recursos, y toda la actividad relacionada con ese recurso también se destaca en verde en el mapa de calor de gradientes. Para ir a la vista Recursos, haz clic en el primer acceso o el último acceso en la pestaña Recursos.

Lista de la barra lateral de TIMELINE

Cuando buscas un elemento, la actividad se muestra con un período predeterminado de 2 horas. Si colocas el cursor sobre la fila de categorías de encabezado, se mostrará el control de ordenación de cada columna, lo que te permitirá ordenarlas alfabéticamente o por tiempo según la categoría. Ajusta el período con el control deslizante de tiempo o desplazando la rueda del mouse mientras el cursor se encuentra sobre el gráfico de prevalencia.

Lista de la barra lateral de DOMINIOS

Usa esta lista para ver la primera búsqueda de cada dominio distinto dentro de un período determinado. Esto ayuda a ocultar el ruido causado por los recursos que se conectan con frecuencia a los dominios.

Resumen de los elementos visuales de la vista

Chronicle incluye los siguientes elementos de la interfaz de usuario para ayudarte a investigar cualquier problema que pueda estar presente en la empresa:

Elemento Descripción
Control deslizante de tiempo El deslizador de tiempo te permite ajustar el período de tiempo que se examina. Puedes ajustar el control deslizante para ver entre un minuto y un día de eventos. Disponible solo en: Estadísticas empresariales, Vista de recursos, Vista de dirección IP, Vista de dominio, Vista de hash, Vista de usuario, Panel de reglas y Editor de reglas.
Prevalencia La prevalencia mide la cantidad de recursos dentro de tu empresa que se conectaron a un dominio específico en los últimos siete días. Disponible solo en las siguientes vistas: vista de recursos, de dirección IP, de dominio y de hash.
Panel de navegación derecho
Expandir todo Expande todos los elementos contraídos.
Contraer todo Contrae todos los elementos expandidos.
Restablecer Muestra la vista predeterminada y, además, incluye Todas (hay excepciones).
Mostrar todos Incluye todos los elementos.
Ocultar todo Se excluyen todos los elementos.
Incluir Incluye los artículos excluidos. Colocar el cursor sobre el ícono proporciona una vista previa en verde.
Excluir Filtra el elemento seleccionado. Colocar el cursor sobre el ícono proporciona una vista previa en naranja.
Excluir otros Verifica los demás elementos, excepto el seleccionado.
Panel de navegación izquierdo
Expandir todo Expande todos los elementos contraídos.
Contraer todo Contrae todos los elementos expandidos.
Ajustar texto Ajusta el texto a la línea siguiente cuando llega al margen derecho; de lo contrario, el texto se muestra en una sola línea.
Separar texto Se expande el texto en una sola línea.
Acciones Descargar como CSV: Descarga la información en formato CSV.
Buscar filas Proporciona una opción para ingresar una palabra clave para buscar en cada fila.